El investigador Abdelhamid Naceri, que a menudo informa sobre errores de Windows esta vez, lanzó un exploit de prueba de concepto que funciona para privilegios de administrador de día cero en GitHub.. Según Naceri, funcionará en todas las versiones compatibles de Windows.. Este día cero en particular puede permitir que un actor potencialmente malintencionado abra un símbolo del sistema con privilegios del SISTEMA desde una cuenta con solo un nivel "Estándar" de bajo nivel.’ privilegios. Les permite elevar fácilmente sus privilegios y extenderse a continuación dentro de la red.. El día cero afecta a todas las versiones compatibles de Windows, incluyendo Windows 10, ventanas 11, y Windows Server 2022.
El nuevo error de Microsoft permite privilegios de administrador en todas las versiones compatibles de Windows
“Somos conscientes de la divulgación y haremos lo que sea necesario para mantener a nuestros clientes seguros y protegidos. Un atacante que utilice los métodos descritos ya debe tener acceso y la capacidad de ejecutar código en la máquina de la víctima objetivo.,” un portavoz de Microsoft dijo en un comunicado.
El día cero de privilegios de administrador fue descubierto por Naceri cuando había estado analizando el parche CVE-2021-41379. Microsoft solucionó la vulnerabilidad anteriormente, pero resultó que no estaba completamente. Posteriormente, el investigador lo examinó y encontró una omisión junto con nuevos privilegios de administrador de día cero.. Luego decidió, en lugar de eliminar el bypass, elegir la vulnerabilidad recién descubierta.. Argumentó que era más potente que el que no estaba completamente arreglado..
A muchas investigaciones no les gustan los nuevos términos de recompensa por errores de Microsoft
Y el motivo de hacerlo público radica en los investigadores’ decepción con el programa de recompensas por errores de Microsoft. Se queja de que desde abril 2020 Las recompensas de Microsoft se han destruido. Y que realmente no haría eso si MSFT no tomara la decisión de degradar esas recompensas.. Parece que a otros investigadores tampoco les gustan los nuevos términos del programa de recompensas de Microsoft..
TEN CUIDADO! Microsoft reducirá su recompensa en cualquier momento! Esta es una vulnerabilidad de Hyper-V RCE que se puede activar desde una máquina invitada, pero solo es elegible para un $5000.00 premio de recompensa en el marco del programa de recompensas de Windows Insider Preview. Injusto! @msftsecresponse
@msftsecurity pic.twitter.com/sJw3cjsliF— rthhh (@ rthhh17) noviembre 9, 2021
https://twitter.com/MalwareTechBlog/status/1287848085243060224?ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E1287848085243060224%7Ctwgr%5E%7Ctwcon%5Es1_&ref_url=https%3A%2F%2Fwww.bleepingcomputer.com%2Fnews%2Fmicrosoft%2Fnew-windows-zero-day-with-public-exploit-lets-you-become-an-admin%2F
Lo más probable es que Microsoft publique el parche para estos privilegios de administrador el día cero en la próxima actualización del martes de parches. Para que las empresas de parches de terceros intenten corregir la vulnerabilidad al intentar parchear el binario, Naceri tiene advertencias de que podría romper el instalador.. Él piensa que debido a la complejidad de esta vulnerabilidad, la mejor solución aquí será esperar a que Microsoft lance un parche de seguridad..
Con respecto a este día cero, los investigadores de Cisco Talos informan que los actores de amenazas ya han comenzado a explotar esta vulnerabilidad.. Los investigadores pudieron identificar varias muestras de malware que ya estaban intentando aprovechar el exploit.. Aunque dicen que el volumen es bajo y eso significa que los malos actores simplemente intentan trabajar con el código de prueba de concepto o probarlo para futuras campañas..
En caso de que se haya perdido la noticia, agregaremos aquí algunos extractos de la misma.. en agosto 2021 Azure de Microsoft sufrió una enorme Ataque DDoS que alcanzó un máximo de 2,4 Tbps. Sin embargo, la empresa no reveló la identidad del cliente atacado que resistió con éxito el ataque.. Microsoft también agregó en una declaración de seguimiento que el tráfico de ataque se originó aproximadamente en 70,000 fuentes y de varios países de la región de Asia y el Pacífico, como Malasia, Japón, Taiwán, Vietnam y China, así como de los Estados Unidos.
